3

Uber z karą w wysokości 400 000 EUR. „Za GDPR” byłoby znacznie więcej

Niech Uber cieszy się, że wyciek danych z jego infrastruktury nie nastąpił w okresie obowiązywania RODO (GDPR), bo zapłaciłby za ten incydent znacznie więcej. Wcześniej, za dokładnie te same przewiny w Holandii oraz Wielkiej Brytanii nałożono na niego łącznie 1,150 mln dolarów kar.

Francuski komisarz ds. ochrony danych osobowych ogłosił, że Uber został ukarany w tym kraju karą w wysokości 400 000 euro. Kwota odnosi się do incydentu z 2016 roku, kiedy to dane 57 milionów użytkowników na całym świecie wyciekły do sieci. Należy dodać, że sam wyciek nie powoduje jeszcze, że kara się należy: warto odnieść się do faktu, że Uber nie włożył wystarczających wysiłków w to, aby je chronić. Na mocy operacji śledczych prowadzonych przez różnych regulatorów, raz po raz orzekano o tym, że Uber nie dopełnił wszystkich swoich obowiązków w tym zakresie. Co więcej, Francuzi twierdzą, że gdyby Uber wdrożył odpowiednie procedury, do wycieku zwyczajnie by nie doszło.

Na takim wyroku zaważył także fakt, iż Uber czekał rok z powiadomieniem swoich klientów oraz mediów o wycieku danych. Według regulatorów, każdy taki incydent powinien charakteryzować się natychmiastową obsługą ze strony pionu IT oraz PR, przy czym ci pierwsi mają wyjaśniać okoliczności zdarzenia, a osoby odpowiedzialne za relacje z klientami, mediami powinny rzetelnie informować o wszelkich nieprawidłowościach – tak, aby użytkownicy mogli wykonać działania korespondujące z incydentem (zmiana haseł itp.)

uber

Uber ma szczęście, że do tego incydentu nie doszło w trakcie obowiązywania RODO (GDPR). Wtedy byłoby znacznie drożej

Regulacje GDPR zakładają, że firma, która nie dopilnuje bezpieczeństwa swojej infrastruktury lub zostanie przyłapana na nieuczciwych praktykach względem prywatności użytkowników, może zostać ukarana grzywną w wysokości do 4% jej całkowitych przychodów na świecie. Uber ogółem stracił w poprzednik roku, choć jego przychody wyniosły 7,5 miliarda dolarów. Biorąc pod uwagę takie wyniki finansowe giganta przewozowego, można by było spodziewać się horrendalnej kary za ten incydent… do 300 000 000 dolarów. To naprawdę ogromna suma i z pewnością wpłynęłaby ona na kondycję firmy.

Tak drakońskie sumy z jednej strony są bardzo dobrym straszakiem, ale z drugiej strony budzą kontrowersje, przede wszystkim dużych firm technologicznych. Komisarze bardzo często będą orzekać „na korzyść” swoich mocodawców, twierdząc że oskarżony nie dopełnił wszystkich swoich obowiązków względem ochrony prywatności użytkowników – przynajmniej według przeciwników tych regulacji. Narzeka się również na często typowo biurokratyczne obowiązki wynikające z GDPR, natomiast zwolennicy nowego prawa uznają, że regulacje w tym zakresie były bardzo potrzebne: podobnie jak i kary, które powinny zmotywować niektórych gigantów do większej dbałości o bezpieczeństwo własnych infrastruktur. To jak, czekamy na pierwszą karę obejmującą okres „za panowania RODO”?